Вопросы Теги

Правило запрета PAM не применяется в Ubuntu в Google Cloud

Я добавил 

auth requisite pam_deny.so

в качестве первой строки каждого файла в /etc/pam.d/ (включая sshd ) , но SSH-соединения по-прежнему устанавливаются без проблем. Он находится в экземпляре Google Cloud Ubuntu по умолчанию, поэтому в нем настроена таинственная аутентификация. Как мне применить мою команду deny?

Основные проверки

  • / etc / ssh / sshd_config содержат строку UsePAM yes

  • / etc / ssh / sshd_config отключены другие методы аутентификации: IgnoreUserKnownHosts да Игнорировать хосты да Пароль Аутентификация нет ChallengeResponseAuthentication нет KerberosAuthentication нет GSSAPIAАутентификация нет UseLogin нет

  • /etc/nsswitch.conf не имеет пользовательских passwd записей: 

     passwd: compat 
группа: compat 
тень: совместимость 
gshadow: файлы 

хосты: файлы dns 
сети: файлы 

протоколы: файлы db 
услуги: файлы базы данных 
ethers: файлы базы данных 
rpc: файлы базы данных

  • перезапущен sshd служба

  • остановил все службы с google в имени
  • нет подсказок о механизме аутентификации в journalctl -f при входе в систему по SSH
  • Вход в ОС отключен для проекта Google Cloud, и google_oslogin_control показывает его статус как деактивирован

Я вхожу в систему, используя SSH-ключ проекта, настроенный в метаданных проекта Google Cloud . Экземпляр использует cloud-init для настройки ключей SSH и т. Д., Но я не могу найти никаких намеков относительно того, что может быть настроено, чтобы переопределить механизм аутентификации PAM.

Любой намек на то, что может переопределить Мы будем очень признательны за механизм аутентификации PAM!

NB Смысл этого в том, чтобы в конечном итоге включить модуль PAM для двухфакторной аутентификации.

0
задан 3 October 2018 в 06:34
1 ответ

татгалзах тушаалыг PAM нэвтрэлт танилтыг тойрч гарах хоёр системд харгалзах хоёр тусдаа шалтгаанаар үл тоомсорлодог.

  1. Хэрэглэгч тохируулагдсан тул sudo ажиллаж байх үед үл тоомсорлодог. NOPASSWD тугтай. Энэ туг нь 

    % google-sudoers ALL = (ALL: ALL) NOPASSWD: ALL гэсэн мөртэй  /etc/sudoers.d  файлд идэвхжсэн болно.

    бөгөөд миний хэрэглэгч google-sudoers бүлэгт харьяалагддаг. гарын авлагад хэлсэнчлэн:

    Анхдагч байдлаар, sudo нь командыг ажиллуулахаас өмнө хэрэглэгч өөрөө өөрийгөө баталгаажуулахыг шаарддаг. Энэ зан үйлийг NOPASSWD шошго ашиглан өөрчилж болно.

    Тиймээс sudo ашиглан нэвтрэлт танилтыг (PAM оруулан) бүхэлд нь тойрч гардаг.

  2. SSH нийтийн түлхүүр тул SSH-р нэвтрэх үед үүнийг үл тоомсорлодог. нэвтрэлт танилт PAM-ийг тойрч гарах болно. Ubuntu 18.04 дээр man sshd_config холболтоор ашигласан гарын авлагад

    Хэрэв тийм гэж тохируулсан бол энэ нь PAM данс болон бүх нэвтрэлт танилтын горимын модуль боловсруулалтаас гадна ChallengeResponseAuthentication болон PasswordAuthentication ашиглан PAM нэвтрэлт танилтыг идэвхжүүлэх болно.

    Тиймээс PAM нэвтрэлт танилт нь сорилтын хариу болон нууц үг гэсэн хоёр төрлийн баталгаажуулалттай ажилладаг. PAM нь нийтийн түлхүүрийг танихад ашиглагддаггүй.

    Та / etc / sshd_config AuthenticationMethods publickey, keyboard-interactive нэмж, татгалзахыг шаардаж болно. Энэ нь хэрэглэгчээс хоёр аргыг ашиглан баталгаажуулахыг шаарддаг: эхний түлхүүрээр (үүнд PAM ашиглахгүй), дараа нь сорилтын хариу өгөх (PAM ашиглана).

2
ответ дан 4 December 2019 в 13:23

Теги

Похожие вопросы